Executar uma pesquisa de detecções

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Determine a predominância de uma ameaça ao longo do tempo ou teste os esforços de correção ou erradicação. Você pode selecionar observáveis individuais ou múltiplos e o intervalo de datas para sua pesquisa de um incidente de segurança. Os resultados são incluídos na lista relacionada de observáveis de incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    A capacidade Pesquisa de detecções tem um fluxo de trabalho, Integração de Operações de segurança - Fluxo de trabalho de pesquisa de detecções, que executa a pesquisa de detecções. Este fluxo de trabalho aceita uma lista de observáveis, encontra capacidades de implementação, cria as consultas com base nas configurações de pesquisa de detecções e executa as pesquisas com base no fluxo de trabalho configurado.
    Nota:
    Uma implementação ativa deve ser configurada. A Pesquisa de detecções é compatível com Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger e enriquecimento de incidentes do QRadar. Se não houver implementações disponíveis, as ações de capacidade, como Executar pesquisa de detecções, não serão exibidas nos menus do produto.

    Procedimento

    1. Navegue até um incidente de segurança.
    2. Clique no link relacionado Mostrar IoC.
    3. Selecione Observáveis na guia Lista relacionada.
    4. Selecione os observáveis nos quais você deseja executar uma pesquisa de detecções.
    5. Clique em Executar pesquisa de detecções no menu suspenso Ações nas linhas selecionadas....
      Observáveis
      A caixa de diálogo Executar pesquisa de detecções é aberta.
      Caixa de diálogo Executar pesquisa de detecções
      Nota:
      Os valores inseridos na caixa de diálogo substituem os valores de configuração de capacidade para esta execução.
    6. Escolha o número de dias ou um intervalo de datas para pesquisar dados.
      OpçãoDescrição
      Último O número de horas ou dias anteriores à criação do incidente a ser pesquisado.

      O padrão é 7 dias. O limite é de 99 horas ou dias.
      entre Intervalo de datas a serem pesquisadas. As datas padrão são:
      • A data e a hora em que o incidente foi aberto.
      • A data e a hora sete dias antes da abertura do incidente.
      Nota:
      Último é o número de horas ou dias anteriores à criação do incidente a ser pesquisado. O padrão é 7 dias. O limite é de 99 horas ou dias.
    7. Clique em Pesquisar.
      Um registro de pesquisa de detecções é criado. Os dados agregados e de detecções associados são exibidos no incidente de segurança nas guias Resultados da pesquisa de detecções e Detalhes da pesquisa de detecções.
      Nota:
      Os dados dos resultados da pesquisa de detecções podem ser compartilhados com Trusted Security Circle, com exceção dos dados brutos no caso de implementações configuradas para incluir dados brutos.
      Tabela 1. Resultados da pesquisa de detecções
      Resultado Descrição
      Número O identificador da pesquisa de detecções.
      Contagem de observáveis Número de observáveis pesquisados por consulta.
      Detecções internas Contagem de detecções internas.
      Vistas externas Contagem de detecções externas. (Recebido de compartilhamento de ameaças.)
      Itens de configuração correspondidos Contagem de itens de configuração que corresponderam a um registro existente no seu cmdb para cada observável encontrado em seu ambiente.
      Intervalo de datas de início Hora de começar a procurar detecções.
      Intervalo de datas de término Hora de parar de procurar detecções.
      Atualizado Data e hora da última modificação.

      Observação: se a implementação usada para a pesquisa de detecções estiver configurada para incluir dados brutos e pelo menos uma detecção for encontrada, um anexo contendo amostras de dados brutos aparecerá na parte superior do incidente de segurança.

      Tabela 2. Detalhes da pesquisa de detecções
      Detalhe Descrição
      Pesquisa de detecção O identificador da pesquisa de detecções.
      Observável Observável pesquisado por consulta.
      Tipo de observável Tipo de observável pesquisado por consulta.
      Detecções internas Contagem agregada de detecções internas.
      Vistas externas Contagem agregada de detecções externas. (Recebido de compartilhamento de ameaças.)
      Atualizado Data e hora da última modificação.